PHP pdo bindParam 类型管理

Question

这是发帖形式：

 $funcname->name= htmlentities($_POST['name']);
 $funcname->insert();

这将是类 funcname 上的函数 insert，它将数据插入到名为 name

的列中

$this->conn->beginTransaction();
$stmt = $this->conn->prepare("INSERT INTO nameTBL (name) values (:name)";
$stmt->bindParam(':name', $this->name, PDO::PARAM_INT);
if ($stmt->execute()) {
         $this->conn->commit(); //This will save your changes
         $this->conn->exec('UNLOCK TABLES ' . self::$table_name);
         header('Location: ../');
         exit();
} else {
         $this->conn->rollBack(); //This will undo your changes
         $this->conn->exec('UNLOCK TABLES ' . self::$table_name);
         header('Location: ../');
         exit();
}

现在的问题是我设置了 PDO::PARAM_INT，它不应该允许字符但只允许整数，为什么我能够将文本发布到数据库（表）？

我有什么方法可以在这里高度限制 bindParam 上的数据类型。

提前致谢。

Answer 1

您的代码中有几个错误。

不过，让我们看看 PDO::PARAM_INT、PDO::PARAM_STR 和 PDO::PARAM_NULL 类型告诉 MySQL 做什么。

这些值告诉 PDO 如何处理输入，而不是禁止输入。如果您发送文本，但列是 int，那么 MySQL 将尝试将数据强制转换为 int。它不会告诉您“您输入了 abcd 但预期值是整数”。在将数据传递给 PDO 之前，您必须自己进行此检查。

现在讨论其他问题：

• 不要使用bindParam。 bindParam 接受 reference 的值。这适用于当您调用存储过程并且应该根据过程的输出修改变量时。使用bindValue。如果您尝试使用 bindParam 执行以下操作，它将不起作用并且您会收到错误消息：

  $stmt->bindParam(':my_column', 1, PDO::PARAM_INT); // It fails and yields an error

• 不要锁定表。您已经在使用事务，无需锁定表，MySQL 为您处理并发和访问。

底线 - 使用PDO 进行插入验证之前。 PDO 帮助您根据连接信息（除其他外）清理输入。它不会执行验证。